Aunque la existencia de las vulnerabilidades en aplicaciones del día a día sea algo normal, es importante mantenerlas a raya para evitar problemas con los usuarios. El problema viene cuando esa aplicación es TikTok, una de las más usadas tanto en España como a nivel mundial. Es lo que ha descubierto Microsoft, poniendo sobreaviso a la compañía ByteDance sobre una vulnerabilidad crítica.
[TikTok prueba una funcion para que puedas ver los vídeos sin tantos elementos en pantalla]
Según el equipo de seguridad de Microsoft, la app de TikTok de Android tuvo un serio problema de seguridad, descubierto por la compañía de Redmond. Esta era una vulnerabilidad de alto calibre, que habría permitido que los atacantes pudieran hacerse con las cuentas de los afectados con tan solo un clic.
La versión afectada es la 23.7.3 de Android, así como versiones anteriores. No se tiene constancia de que se hayan realizado exploits de este problema y además, para explotar la vulnerabilidad, Microsoft tuvo que seguir una serie de pautas bastante complicadas. No obstante, debes mantener actualizada tu aplicación para instalar el parche que soluciona el problema.
Actualiza ya tu app
Tal y como expone Microsoft en su web, la app de TikTok permitía omitir la verificación deeplink de la aplicación. Un atacante con los suficientes conocimientos técnicos podría haber forzado que la app cargara una URL en el sistema WebView de la aplicación para visualizar páginas web internas.
Esta página habría accedido a los puentes de JavaScript de WebView para otorgar a un hacker más derechos de funcionamiento, y hasta 70 formas de acceder de forma rápida a la información del usuario afectado. De hecho, el hacker podría haber incluso recuperado los tokens de autentificación del usuario activando una solicitud a un servidor controlado, registrando la cookie y los encabezados de la solicitud.
Toda la información técnica del problema se halla reflejada en el aviso de TikTok, que ya ha habilitado una entrada CVE para la vulnerabilidad. Microsoft advirtió a ByteDance del problema, a través de Microsoft Security Vulnerability Research en febrero de 2022. Tan solo un mes después de esto, TikTok parcheó la vulnerabilidad.
Aunque de nuevo no se tenga constancia de que se haya explotado, hay que aclarar que TikTok tiene varias apps para Android. Sin ir más lejos, tiene una para el este y sudeste de Asia y otra para el resto del mundo. Ambas estaban afectadas, por lo que el número potencial de víctimas asciende a 1.500 millones, que es la estimación de instalaciones de la app en el mundo.
Si bien el problema ha sido parcheado, es importante que revises si tienes la app actualizada a una versión posterior a la 23.7.3. Si no es así, estos son los pasos que debes seguir para actualizar ahora mismo la app a través de Google Play Store:
- En la Google Play Store, pulsa sobre tu foto de perfil.
- Ve al apartado de 'Mis aplicaciones', y busca actualizaciones de todas tus aplicaciones.
- Puedes actualizar o bien todas las aplicaciones o actualizar de forma individual la app de TikTok desde ese mismo menú.
- En los ajustes de Google Play Store activa las actualizaciones automáticas si no lo tienes activado, ya que eso te asegurará estar protegido en todo momento frente a estas vulnerabilidades.